如何获取进程使用的所有内存地址空间?

时间:2011-06-05 11:11:01

标签: c# memory interop intptr

我需要知道进程使用的所有内存地址空间。稍后将扫描存储空间以定位过程中的值并识别它们的位置/地址。我目前的流程是通过其(基址+内存大小)获取每个模块的基址。

我正在一个已知地址已知值的进程上对此进行测试。当我查找该特定地址时,我得到了我期望的值。但是,当我扫描(我相信是)进程使用的所有地址空间时,我无法在任何地方找到该值。

我知道 0x0CF8DC38 0x0CF8DDDC 存在数值“4143000”。当我调用 ReadMemoryBytes(module,module.BaseAddress,4,(IntPtr)(0x0CF8DC38))时,我返回字节(152,55,63,0)。当我调用BitConverter.GetBytes(4143000)时,我得到了相同的字节集。当我在该进程上使用不同的内存扫描程序时,我会在这些地址找到该值。

然而,当我扫描“已知地址”时,我在任何地方都找不到这个值。看起来我的代码甚至找不到进程使用的那些地址。

因此,我的问题有两个:

  • 如何在此过程中找到这些地址?
  • 我担心我可能会处理系统内存中的绝对地址与进程中的相对地址。我这样做了吗?

// (in the calling method)
foreach (ProcessModule module in process.Modules) {
    ParameterizedThreadStart pst = new ParameterizedThreadStart(p => SearchModule(module, value));
    Thread t = new Thread(pst);
    t.Start(); }

private unsafe void SearchModule(ProcessModule module, string value)
{
Process process = getProcess;
int iVal;
double dVal;
int.TryParse(value, out iVal);
double.TryParse(value, out dVal);
for (Int64 addr = (Int64)module.BaseAddress; addr + value.Length < (Int64)module.BaseAddress + module.ModuleMemorySize; addr++)
{
    // Compare ints
    if (iVal > 0)
    {
        byte[] ExpectedBytes = BitConverter.GetBytes(iVal);
        byte[] ActualBytes = ReadMemoryBytes(module, (IntPtr)addr, (uint)ExpectedBytes.Length, (IntPtr)addr);

        bool isMatch = true;
        for (int i = 0; i < ExpectedBytes.Length; i++)
            if (ExpectedBytes[i] != ActualBytes[i])
                isMatch = false;
        if (isMatch)
            PossibleAddresses.Add((IntPtr)addr);
    }
}

private byte[] ReadMemoryBytes(ProcessModule mod, IntPtr memAddress, uint size, IntPtr BaseAddress)
{
    byte[] buffer = new byte[size];
    IntPtr bytesRead;
    unsafe
    {
        ReadProcessMemory(processPointer, BaseAddress, buffer, size, out bytesRead);
        return buffer;
    }
}

[DllImport("kernel32.dll")]
public static extern IntPtr OpenProcess(UInt32 dwDesiredAccess, Int32 bInheritHandle, UInt32 dwProcessId);
[DllImport("kernel32.dll")]
public static extern Int32 CloseHandle(IntPtr hObject);
[DllImport("kernel32.dll")]
public static extern Int32 ReadProcessMemory(IntPtr hProcess, IntPtr lpBaseAddress, [In, Out] byte[] buffer, UInt32 size, out IntPtr lpNumberOfBytesRead);

1 个答案:

答案 0 :(得分:1)

您获得的地址是托管(CLR)堆的指针。它们通常不会映射到绝对存储器地址,并且它们可以在GC决定运行时从一个调用移动到另一个调用。

如果您使用“不安全”代码,您可以获得相对指针以及管理自己的内存空间。它仍然在堆上,但至少你保证GC不会修改你的地址空间。

不要期望能够在没有大量包装的情况下从非CLR代码访问堆上的东西。有一些方法可以在CLR管理的进程之间进行IPC,但如果您希望非CLR进程能够到达您的内存,则必须将访问代理写入“外部世界”。

相关问题
最新问题